1

目前我正在使用 CKEditor 文本编辑器。它逃脱了 html,但我想阻止它从服务器端。当我们在 Python/Django 中使用文本编辑器时,防止 XSS 的最佳方法是什么?

4

1 回答 1

0

在模板中自动或显式转义您的输出,例如

{% autoescape on %}
    {{ body }}
{% endautoescape %}

或者

{{ body|escape }}

如果您只想转义 JavaScript,那么“正确”的方法是将 HTML 转换为 DOM,遍历节点树,并删除任何脚本元素。一个不太优雅和不完美的解决方案是使用正则表达式来替换任何脚本标签。

于 2013-09-11T20:42:07.140 回答